В Windows Print Spooler обнаружилась еще одна уязвимость

Компания Microsoft выпустила уведомление безопасности для очередной уязвимости в диспетчере печати Windows Print Spooler. Уязвимость, получившая идентификатор CVE-2021-36958 , позволяет локальному атакующему получить на компьютере привилегии системы.

Уязвимость является частью нашумевшего класса багов под названием PrintNightmare, связанных со злоупотреблением настройками конфигурации диспетчера печати, драйверами для принтеров и функцией Windows Point and Print. Microsoft исправила PrintNightmare с выходом июльских и августовских плановых обновлений безопасности.

Тем не менее, уязвимость, обнаруженная исследователем безопасности Бенджамином Делпи (Benjamin Delpy), по-прежнему позволяет злоумышленникам быстро получать привилегии системы, просто подключившись к удаленному серверу печати.

С помощью уязвимости злоумышленник может воспользоваться функцией CopyFile и наряду с драйвером для принтера скопировать в клиент DLL-файл, при подключении к принтеру открывающий интерпретатор командной строки.

Хотя с выходом августовских обновлений Microsoft изменила процесс установки драйверов для принтера, и теперь для этого требуются права администратора, для подключения к принтеру с уже установленными драйверами права администратора не нужны. Более того, если драйвер есть в клиенте и, следовательно, устанавливать его нет необходимости, при подключении к удаленному принтеру по-прежнему будет выполняться директива CopyFile для пользователей без прав администратора. Этот баг позволяет скопировать DLL-файл в клиент и выполнить его с целью открытия интерпретатора командной строки с привилегиями системы.

В рамках августовского «вторника исправлений» Microsoft выпустила уведомление безопасности для CVE-2021-36958, в котором рассказала, как обезопасить себя от атак с ее эксплуатацией (нужно просто отключить диспетчер печати). Исправление для уязвимости компания не опубликовала.